McAfee’nin Mobil Araştırma Ekibindeki araştırmacılar, Google Play Store’da ‘HiddenAds’ adı verilen ve kendisini cihazlardaki gereksiz dosyaları silen daha temiz uygulamalar veya cihaz yönetimi için pil ömrünü optimize etmeye yardımcı olabilecek uygulamalar olarak gösteren yeni bir kötü amaçlı yazılım buldu.
Bu yeni kötü amaçlı yazılım, reklamları sürekli olarak kullanıcılara gizler ve görüntüler. Uzmanlar, uygulamayı çalıştırmadan yükleme sırasında kötü amaçlı hizmetleri otomatik olarak çalıştırdıklarını söylüyor.
Google Play’de Kötü Amaçlı Yazılım
Kötü amaçlı etkinlikleri olmasına rağmen, bunlar Google Play’de bulunur, böylece kurban, cihazını optimize etmek için aşağıdaki uygulamaları arayabilir.
Bu kötü amaçlı yazılım, kurbanın cihazına yüklendiğinde, uygulamaları açmak için herhangi bir kullanıcı etkileşimine ihtiyaç duymadan bile, yükleme sırasında kötü amaçlı hizmetleri otomatik olarak çalıştırır.
“Kullanıcıların uygulamaları fark etmesini ve silmesini önlemek için kendilerini gizlemeye çalışıyorlar. McAfee’nin Mobil Araştırma Ekibi, simgelerini, kullanıcıların aşina olduğu bir Google Play simgesine ve adını ‘Google Play veya ‘Ayar’ olarak değiştirin” diye açıklıyor.
Kurbanlara Reklam Gösterin
Bu hizmetler, kullanıcıların cihazlarına uygulamaları yüklediklerinde, kaldırdıklarında veya güncellediklerinde bir uygulamayı çalıştırmalarını önerir.
Uygulamaları Yeni Kullanıcılara Tanıtma
Kötü amaçlı yazılım yazarları, meşru sosyal medya aracılığıyla dağıtılan Google Play bağlantısı olduğu için Facebook’ta reklam sayfaları oluşturdu ve kullanıcılar için çok az şüphe bıraktı.
Kötü Amaçlı Yazılımın Çalışması
Adware uygulamaları, cihaz ve çevrimiçi hizmetler arasında veri aktarımına izin veren Contact Provider Android bileşenini kötüye kullanır. Bunun için Google, Kişi Sağlayıcı ile uygulamalar arasındaki sözleşme olan ContactsContract sınıfını sağlar.
Uzmanlar, Directory adında bir sınıf olduğunu söylüyor. Bir Dizin, bir kişi grubunu temsil eder ve benzersiz yetkisiyle bir İçerik Sağlayıcı olarak uygulanır. Bu nedenle, geliştiriciler özel bir dizin uygulamak isterlerse bunu kullanabilirler. İletişim Sağlayıcı, bildirim dosyasındaki özel meta verileri kontrol ederek uygulamanın özel bir dizin kullandığını anlayabilir.
“Önemli olan, İletişim Sağlayıcının yeni kurulan veya değiştirilen paketleri otomatik olarak sorgulamasıdır. Bu nedenle, McAfee’nin son blog gönderisine göre, özel meta veriler içeren bir paket yüklemek her zaman Contact Provider’ı otomatik olarak arayacaktır.
Ayrıca, simgelerini ve adlarını aşağıdakileri kullanarak değiştirirler:
Son söz
McAfee telemetri verilerine göre, bu kötü amaçlı yazılım ve türevleri Güney Kore, Japonya ve Brezilya dahil olmak üzere çok çeşitli ülkeleri etkiliyor. Özellikle kullanıcıların bu tür kötü amaçlı yazılımları fark etmesi kolay değildir.
Yukarıda belirtilen uygulamaları Android akıllı telefonlarına yüklemiş olan kullanıcılar için, bunları cihazdan manuel olarak kaldırmaları önerilir.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.